对抗中的主动防御——攻防演练及小规模网络对抗的战术

以上，一方面可以进行小规模网络对抗，在建设完成后，也可以完善常态化网络安全建设。

不过在SOAR建设初期，由于其专业性及需要与所在组织和流程进行磨合，以达到默契，所以这方面工作更建议阶段性使用安全服务？？，以期能够快速打造出初始效果，并在之后进行阶段性调整，以完善其效果。这部分一般是需要人工服务的。

另一方面，在进行正常流程之外遇到突发事件，包括一些无法完全自动化和工具化的工作中，例如：黑客入侵中后期的应急响应、反制和溯源等等，以及在完善的SOAR建设起来之前和建设中，是需要人工专家服务的，如果资源较少可以使用阶段性服务，这样可以集中优势资源迅速占领对抗中的制高点。

五、尽量先使用自动化探测工具

大部分组织都会建立资产台账，但组织越大、越复杂，资产台账越不准确，这包括组织架构变动、资产转移、临时他用、利旧使用等等多方面因素，也可能包括管理不到位等因素。

为了保证对风险的可预测性以及被利用的可能性，需要在现有已了解资产的状态下，对以下三个方面进行主动探测：

尽量对组织的所有相关联资产进行盘点，绘制网络空间资产地图，这应该是包括暴露在互联网上以及内网的所有资产，重点应放在暗资产（资产台账中没有的或不明晰的）、灰色资产（归属不清或管理职责不清的）。这里需要注意的是，不要遗漏进行域名反查，不要遗漏在云防御体系下是否能追溯到源站，不要遗漏是否有敏感路径暴露在互联网上。另外比较棘手的地方在于，有些资产或域名并不归属总部管辖，要想全部查找出它们往往并不容易，但它们可能会成为防御死角，迅速被攻击者攻破。以上这些关注点，有些地方需要依靠一些人工手段或半自动化手段进行探测，尽量不要遗漏。但依然应该是优先使用自动化探测，辅以人工。

尽量对所有资产进行漏洞探测，尤其是对暗资产、灰色资产，它们往往因为管理不明晰或者管理人员不知道它们的存在而变成攻击的突破口。另外，应该时刻关注1day漏洞情报，大部分攻击者仍然比较介意使用0day攻击（当使用0day时，很可能该exp被捕获而造成此0day暴露，关于0day的处理方法在后续章节叙述），他们通常更倾向于使用1day爆发与修补的时间差进行攻击。更重要的是对弱口令的探测，无论是设备、操作系统、中间件、管理后台、登陆前台等等的弱口令，通常都是攻击者最快速攻击进来的渠道（当然，这些也可以被我们用于主动反击，具体后续章节会进行叙述）。所以使用自动化漏洞探测工具，尤其是对1day漏洞和弱口令的迅速探测和修复，是非常重要的。

尽量对可能暴露出来的信息进行查找，包括GitHub、百度云盘、暗网等等有可能泄露资料的地方。历史证明，很多安全方面做得非常好的国内外公司最终在这些不起眼的地方翻了船。

六、先发制人，取得胜利

预先采集相关情报和主导战场，是取得胜利的前提。

我们应该尽可能预先采集相关情报信息，包括：

有可能的攻击者身份，比如他们是来自于某些势力组织或者某些特定攻击队等；攻击者所受到的限制，比如他们可能所在的时区、他们的真实地理位置、他们有可能的跳板总数量级、他们的攻击时限（有些攻击行为是有时间限制要求的）、他们被赋予的攻击强度要求（例如商业黑客往往以窃取数据为出发点，所以不会进行DDoS攻击，攻防演练攻击队会被要求不得进行破坏性攻击）等；

我们还应该尽可能通过秘密情报和开源情报建立一些数据库，例如：社交网络数据库、威胁情报库、漏洞情报库等等，如果有可能，还应该建立敌对阵地/地区设备和指纹库（越精细越好）。

提前设置一些诱捕网络和陷阱，将初始战场转移到我们预设的地方，反客为主。在诱捕网络和陷阱中提前知道攻击，了解攻击手段，甚至追溯攻击者。

七、只要有可能，就要采取欺骗措施

“兵行诡道”。由“蜜罐”组成的“蜜网”系统能达到真真假假、虚虚实实的效果。

部署一个由大量高交互和高仿真蜜罐组成的蜜网系统，将会带来诸多好处：

正常访问者不会访问蜜罐系统，攻击者在不断寻找攻击入口时会访问到蜜罐，所以蜜罐不像IDS/IPS等流量设备会产生海量报警，凡是蜜罐的报警，几乎全都是真实攻击尝试的报警，大大降低误报率（实际上几乎没有误报，即使不是实质性攻击报警，也是侦查或攻击尝试）和降低数据分析工作的难度；

当建立起蜜网后（建议蜜网中蜜罐的数量尽量达到真实业务系统数量的10倍以上），对于攻击者来说，无疑使其陷入了一个迷宫，极大地延缓了攻击进度（理论上攻击时长应会以数量级延长）；

高交互和高仿真的蜜罐，一方面可以迷惑攻击者，使其在蜜罐中停留很长时间，极大地消耗他们的时间，另一方面可以利用高交互获取更多攻击者的攻击手法、第一手自然人信息（例如真实IP、浏览器信息等等）、甚至是他们使用的一些1day和0day，使其暴露；

即使蜜罐模仿的业务系统被攻破，攻击者也无法获取任何有价值的信息，当攻击者90%以上的攻击尝试和努力都是针对蜜罐的，将会消耗他们大量的精力，打击他们的信心；

诸多好处不一列举。

一个精心布置、能产生对抗效果的蜜罐和蜜网系统，应该包含如下能力：

可以快速大量部署，并对正常业务不造成影响；

应该是仿真的，只有这样才有迷惑效果，才能最大化的拖延攻击者，并使其难以发现；

应该是高交互的，高交互一方面可以消耗攻击者的精力，另一方面可能捕获到攻击者的攻击信息，甚至是一些自然人信息（例如精心构建的登陆认证、邮件认证等，均可以考虑反向钓鱼）；

可以保护自身的安全性，一方面蜜罐本身可以包含（也可不含）一些精心构建的漏洞，另一方面要考虑到如果蜜罐失陷，不应使攻击者可以用于跳板或他用；

好的蜜罐应该自带一些1day甚至0day，用于进行溯源反制，这些1day或者0day应该至少包含针对于浏览器、社交平台等方面的，而不仅局限在进行攻击规则匹配以及对浏览器、主机信息和攻击日志等进行记录，这样才能对溯源到真实的自然人有帮助；

好的蜜罐应尽可能内置或可以与一些外置数据和情报信息进行联动和对接，例如：通过获取的一些自然人信息与前文提到的社交网络数据库联合查询以得到攻击者真实自然人身份；通过得到的攻击源信息进行匹配后可以得到跳板范围并进行阻拦等等，这将直接达到减少攻击有生力量的效果。

八、在所有对抗中，都要考虑攻击者的场景并加以利用

在实际的网络对抗中，既然已经明确了以攻击者——“人”为关注点，就要从攻击行为、习惯、可能的手段作为出发点进行考虑，往往可以事半功倍。

在“七步网络杀伤链”理论中，最有参考价值的是2011年洛克希德马丁发布的网络杀伤链模型，在其模型中更为关注“人”的因素。

由于七步网络杀伤链理论模型相对已经比较完善，同时它们也是目前攻击场景中公认最成熟的，在此就不进行累述了，进行对抗方案和操作指南制定时，请查阅和参考该模型来制定详细的反制措施。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!